Wie kann ich überprüfen, ob Windows DNS-Weiterleitungen funktionieren?

9

Ich dachte, ich wüsste, wie man das macht, aber ich denke nicht.

Selbst das d2Debuggen nslookupzeigt nicht an, dass der tatsächliche Spediteur abgefragt wird.

Nehmen wir also an, ich richte DNS-Weiterleitungen auf einem Windows-DNS-Server ein und frage diesen Server dann mit nslookup (oder etwas anderem?) Nach einem externen FQDN wie "www.purpleflowers.com" ab.

Kann ich tatsächlich sehen, wo der Windows-DNS-Server seine Weiterleitung abfragt, welche Weiterleitung er letztendlich verwendet hat und welche Antwort diese Weiterleitung hat?

domain-name-system windows-server-2008-r2 nslookup Der Reiniger
quelle
Warum sollten Sie erwarten, dass das Debuggen nslookupdies zeigt? Die Weiterleitung erfolgt durch den Server, nicht durch den Client.
Barmar
Können Sie die Abfrageprotokollierung auf den Servern aktivieren, an die Sie weiterleiten?
Barmar
@Barmar - die Spediteure sind bei OpenDNS ... nicht etwas, das ich verwalten kann.
TheCleaner
Versuchen Sie dies mit ETW: stackoverflow.com/a/34518185/843000 Hasser werden es hassen.
mbrownnyc

Antworten:

8

Kann ich tatsächlich sehen, wo der Windows-DNS-Server seine Weiterleitung abfragt, welche Weiterleitung er letztendlich verwendet hat und welche Antwort diese Weiterleitung hat?

Mir sind keine Protokolle bekannt, die Ihnen dieses Detail liefern würden. Sie können jedoch jederzeit eine Paketerfassungsfilterung für den DNS-Verkehr starten. Sie sollten sehen, dass die Anforderungen von Ihren Clients eingehen und Anforderungen an Ihre konfigurierten Weiterleitungen für Anforderungen gesendet werden, die nicht aus dem Cache beantwortet werden konnten.

Zoredache
quelle
Danke Zoredache ... das habe ich mir gedacht, aber ich hatte ein wenig Hoffnung, dass mein Google-Fu mich im Stich lässt. Ich werde mir irgendwann in dieser Woche eine Paketerfassung schnappen und Ihre Antwort mit diesen Informationen bearbeiten. (Übrigens, in meinem speziellen Fall haben wir zu OpenDNS und Umbrella gewechselt. Sie haben eine "Verifizierungs" -Seite, die im Grunde überprüft, ob sie DNS-Anfragen von Ihrer WAN-IP erhalten. Das ist gut genug für mich, aber die Frage ist für andere immer noch relevant die sie nicht benutzen)
TheCleaner
2

DNS-Pakete enthalten keine Informationen zu Quelle und Ziel, die sie automatisch mithilfe der DNS-Abfragekaskade ausführen.

Um festzustellen, ob die Weiterleitungen funktionieren oder nicht, müssen Sie einen Client mit der Windows Server-DNS-IP als einzigem DNS einrichten.

Stellen Sie sicher, dass Sie den Cache bereinigen, indem Sie (ipconfig / flushdns) auf dem Client ausführen.

Versuchen Sie es dann, ohne dass eine Weiterleitung es konfiguriert hat. Sie sollten Probleme haben, externe Websites zu erreichen. (Denken Sie daran, dass im Client und auch im Server Cache-Informationen enthalten sind, die bereinigt werden müssen.)

Versuchen Sie dann, eine Weiterleitung wie 8.8.8.8 zu verwenden, und Sie sollten in der Lage sein, die Sites zu erreichen, aber die spezifische IP-Adresse des abgefragten DNS-Servers kann diese Informationen nicht abrufen, da es auf Netzwerkebene keine solchen Informationen gibt.

Hier ist eine interessante Frage zu Ihren Wünschen: https://www.experts-exchange.com/questions/24079211/How-can-I-trace-the-DNS-forwarder-query-from-my-Server.html

Jose Ortega
quelle
Jose, ich schätze die Antwort, aber dieser Teil Then try without any forwarder configured it, you should have issues to hit external sites.ist nicht wahr. Die meisten unserer DNS-Server sind nicht mit Weiterleitungen konfiguriert, sondern verwenden einfach die Root Hints-Server als nicht autorisierende Suche. Sie sollten diesen Teil herausarbeiten (oder ich kann), um andere nicht zu verwirren.
TheCleaner